วันนี้ Blognone ไปแลกเปลี่ยนกับองค์กรอื่นๆ ในงาน NBTC Public Forum เพื่อหามาตรการแก้ไขในเชิงระบบ จากกรณีการขโมยเงินออนไลน์ ประเด็นนี้เป็นข่าวตั้งแต่วันที่ 10 สิงหาคมที่ผ่านมา และมีผลกระทบในวงกว้างจากการอาศัยช่องโหว่สำคัญคือกระบวนการออกซิมการ์ดที่หละหลวม จนทำให้มีผู้เสียหายเป็นมูลค่าเกือบหนึ่งล้านบาท

Blognone ในฐานะที่ติดตามทั้งกระบวนการความปลอดภัย และข่าวสิทธิผู้บริโภคจากการใช้บริการธนาคารและโทรศัพท์มือถือ มีความเห็นและข้อเสนอเพื่อสร้างทางแก้ปัญหาในระยะยาว ต่อหน่วยงานต่างๆ ดังนี้

หมายเลขโทรศัพท์: ปัญหาที่ต้องแก้ไขอย่างเป็นระบบ

ไม่ว่าหมายเลขโทรศัพท์จะมีการใช้เพื่อยืนยันตัวตนในบริการทางการเงินหรือไม่ ก็ไม่สามารถปฎิเสธได้ว่าการขโมยความเป็นเจ้าของหมายเลขโทรศัพท์เป็นปัญหาเรื้อรังในสังคมไทย การขโมยหมายเลขโทรศัพท์มีข่าวอยู่เนืองๆ ต่อเนื่องมาหลายปี จากเหตุผลในสมัยก่อนที่มักเป็นเรื่องหมายเลขสวย (1, 2) มาจนถึงการขโมยเพื่อใช้เข้าถึงระบบธนาคารออนไลน์ในกรณีล่าสุด

การแก้ที่รวดเร็วที่สุดคงเป็นการขอให้ผู้ให้บริการทุกราย ปรับปรุงกระบวนการ, ฝึกฝนพนักงานไม่ให้ข้ามกระบวนการตรวจสอบ, และประชาสัมพันธ์ว่ามีช่องทางใดบ้างในการออกซิมการ์ด หรือเปลี่ยนความเป็นเจ้าของโทรศัพท์ แต่ละช่องทางมีการตรวจสอบเช่นใด มีการตรวจสอบภายในอย่างรัดกุมว่าพนักงานทำตามขั้นตอนอย่างถูกต้องจริงหรือไม่

ข้อเสนอเพิ่มเติมของ Blognone คือ ผู้ให้บริการเปิดให้ผู้ใช้เลือกได้ว่าต้องการให้การออกซิมการ์ดมีความเข้มงวดเป็นพิเศษหรือไม่ จากการที่ผู้ให้บริการบางรายมีช่องทางที่สะดวกกว่าปกติ และน่ากังวลว่าจะมีความปลอดภัยเพียงพอหรือไม่

อย่างไรก็ดี กสทช. ในฐานะหน่วยงานกำกับดูแล ควรเข้ามาดูแลให้กระบวนการออกซิมการ์ดและการโอนถ่ายความเป็นเจ้าของหมายเลขโทรศัพท์ มีมาตรฐานความปลอดภัยขั้นต่ำ ข้อเสนอของ Blognone ต่อกสทช. มีดังนี้

1. ทำสรุปรวมกระบวนการออกซิมการ์ด และการโอนความเป็นเจ้าของหมายเลขโทรศัพท์ของผู้ให้บริการทุกราย ในทุกช่องทางเผยแพร่สู่สาธารณะ พร้อมกับตรวจสอบว่าทุกช่องทางมีความปลอดภัยเพียงพอ รับฟังความเห็นในกรณีที่มีการทักท้วงว่าบางช่องทางไม่ปลอดภัย และสั่งการให้แก้ไข
2. ออกมาตรฐานความปลอดภัยขั้นต่ำในการออกซิมการ์ดและการโอนความเป็นเจ้าของหมายเลขโทรศัพท์ ให้เป็นมาตรฐานขั้นต่ำที่มีอำนาจบังคับใช้ มีบทลงโทษต่อผู้ให้บริการที่ทำผิดอย่างเป็นรูปธรรม แม้จะยังไม่เกิดความเสียหายร้ายแรงต่อผู้ใช้บริการก็ตาม
3. ประชาสัมพันธ์ให้ประชาชนเข้าใจถึงมาตรฐานความปลอดภัยขั้นต่ำนั้น ว่าความลำบากที่เพิ่มขึ้นเป็นไปเพื่อความปลอดภัยของประชาชนเอง

สำหรับแนวคิดการใช้ลายนิ้วมือเพื่อเพิ่มความปลอดภัยนั้น แม้จะมีความเป็นไปได้แต่หากนำมาใช้จริง กสทช. ต้องมีมาตรการในการรักษาความปลอดภัยว่าการเข้าถึงลายนิ้วมือนั้นจะเข้าถึงได้เฉพาะบุคคลที่เกี่ยวข้อง, และการบังคับให้กระบวนการพิสูจน์ตัวตนอย่างครบถ้วนก่อนการออกซิมก็ยังเป็นสิ่งที่ต้องทำ

ความปลอดภัยของธนาคารต่อการใช้หมายเลขโทรศัพท์

ช่วงหลายปีที่ผ่านมา การใช้หมายเลข OTP ผ่านโทรศัพท์ ช่วยลดอันตรายต่อการใช้บริการธนาคารออนไลน์ได้อย่างมีประสิทธิภาพ อย่างไรก็ดีเราพบว่ามีความเปลี่ยนแปลงหลายอย่างทำให้การปกป้องบัญชีธนาคารด้วย OTP ผ่าน SMS อาจจะไม่เพียงพออีกต่อไป

1. อาชญากรปรับตัวมากขึ้น กระบวนการโจรกรรมเงินจากธนาคารออนไลน์รวมเอาการขโมย SMS เป็นส่วนหนึ่งของโจรกรรมอย่างเป็นระบบ การหลอกล่อผู้ใช้เพื่ออ่าน SMS มีมากขึ้นเรื่อยๆ
2. อาชญากรตระหนักว่าหมายเลขโทรศัพท์มีค่ามากขึ้น และเพิ่มเหตุผลให้มีการทำ social engineering เพื่อให้ได้ครอบครองหมายเลขโทรศัพท์
3. รายงานการแฮกเครือข่าย SS7 มีรายงานมาตั้งแต่ปี 2015 เพื่อติดตามตำแหน่งมาจนถึงสามารถดักฟัง SMS มีคำถามว่าช่องโหว่เช่นนี้ใช้งานในไทยได้หรือไม่เพราะเคยมีรายงานข่าวว่ามีการสาธิตอุปกรณ์ที่มีความสามารถแบบเดียวกันนี้ในไทย

เงื่อนไขเหล่านี้ไม่ใช่เงื่อนไขพิเศษเฉพาะประเทศไทย NIST หน่วยงานออกมาตรฐานความปลอดภัยของสหรัฐฯ เริ่มเสนอให้เตรียมยกเลิกการใช้ SMS เพื่อยืนยันตัวตน โดยกระบวนการนี้อยู่ระหว่างการพิจารณา

Blognone เสนอให้มีการเสนอทางเลือกอื่นเพื่อเพิ่มความปลอดภัยให้กับผู้ใช้ ทางเลือกอื่นๆ เช่น hardware token, software token, สร้างโค้ดยืนยันผ่านบัตรชิปธนาคาร หรือทางเลือกอื่นๆ ที่ยังไม่มีรายงานว่ามีความเสี่ยง

การเพิ่มทางเลือกเช่นนี้อาจจะเป็นเริ่มจากการเสนอให้บัญชีที่มีมูลค่าสูงและจึงขยายวงกว้างต่อไปในอนาคต